1

我是 JWT 的新手,所以我使用了一篇文章告诉我生成这样的 JWT:

// Create token header as a JSON string
    $header = json_encode(['typ' => 'JWT', 'alg' => 'HS256']);
    
    // Create token payload as a JSON string
    $payload = json_encode(['userId' => $userId, 'exp' => time()+60*60*24*30]);

    // Encode Header to Base64Url String
    $base64UrlHeader = str_replace(['+', '/', '='], ['-', '_', ''], base64_encode($header));

    // Encode Payload to Base64Url String
    $base64UrlPayload = str_replace(['+', '/', '='], ['-', '_', ''], base64_encode($payload));
 
    // Create Signature Hash
    $signature = hash_hmac('sha256', $base64UrlHeader . "." . $base64UrlPayload, 'mySecret', true);

    // Encode Signature to Base64Url String
    $base64UrlSignature = str_replace(['+', '/', '='], ['-', '_', ''], base64_encode($signature));

    // Create JWT
    $jwt = $base64UrlHeader . "." . $base64UrlPayload . "." . $base64UrlSignature;

我想知道这str_replace是否有必要,因为我认为它会干扰 JWT 的验证?

谢谢。

4

1 回答 1

1

这是正确且必要的,除非你可以直接base64url编码,因为它将编码从base64更改为base64url,这是JWT使用的编码格式

Base64和 Base64Url 编码几乎相同,只有 2 个字符,'+' 和 '/' 需要替换为 '-' 和 '_' 以及从字符串中删除的填充。str_replace 正是这样做的。

签名的内容不受此影响,它只是与验证相关的解码值。

关于“正确方式”的一般性问题:从技术上讲,您的方式是正确的并且有利于教育目的。很高兴知道事情是如何运作的。对于任何现实生活中的应用程序,都有许多可以为您完成这项工作。

于 2021-02-28T15:35:56.470 回答